security Flashcards
modelo de responsabilidad compartida
conjunto de partes que se construyen unas sobre otras. AWS es responsable de algunas partes de su entorno y usted (el cliente) es responsable de otras partes
seguridad de la nube.
AWS protege la infraestructura global:regiones de AWS, zonas de disponibilidad y ubicaciones de borde.
AWS opera, administra y controla los componentes en todos los niveles de la infraestructura: el sistema operativo host, la capa de virtualización e incluso la seguridad física de los centros de datos desde los que operan los servicios.
AWS administra la seguridad de la nube:
Seguridad física de los centros de datos
Infraestructura de hardware y software
Infraestructura de red
Infraestructura de virtualización
- Cómputo y software
Seguridad en la nube
Los clientes son responsables de administrar los requisitos de seguridad del contenido, incluido qué contenido decide almacenar en AWS, qué servicios de AWS utiliza y quién tiene acceso a ese contenido. También controla cómo se conceden, administran y revocan los derechos de acceso.
Las medidas de seguridad que tome dependerán de factores como los servicios que utilice, la complejidad de los sistemas y las necesidades operativas y de seguridad específicas de la empresa.
Datos del cliente
Plataforma, aplicaciones, identity and access management
Sistemas operativos de red y firewall
Cifrado de datos del lado del servidor, cliente
Protección del tráfico de red
AWS proporciona varios informes de auditores externos
De conformidad con una variedad de normas y reglamentos de seguridad informática.
AWS Identity and Access Management (IAM)
permite administrar el acceso a los servicios y recursos de AWS de forma segura.
usuario raíz.
identidad cuando se crea una cuenta de AWS por primera vez
Usos del usuario raíz
Solo para tareas solo disponibles para el usuario raíz: cambiar la dirección de correo electrónico del usuario raíz, cambiar el plan de soporte de AWS, etc.
Para crear el primer usuario de IAM y asignarle permisos para crear otros usuarios.
Para creando otros usuarios de IAM y acceda a esas identidades para realizar tareas habituales en AWS.
Políticas de IAM
documento que permite o deniega permisos para los servicios y recursos de AWS.
principio de seguridad de mínimo privilegio
ayuda a evitar que los usuarios o los roles tengan más permisos de los necesarios para realizar sus tareas.
Grupos de IAM
conjunto de usuarios de IAM. Al asignar una política de IAM a un grupo, a todos los usuarios del grupo se les conceden los permisos especificados por la política.
rol de IAM
identidad que puede asumir para obtener acceso temporal a los permisos.Cuando alguien asume un rol de IAM, abandona todos los permisos anteriores que tenía en un rol anterior y asume los permisos del nuevo rol.
Autenticación multifactor
Requiere que se proporcionen varios datos para verificar la identidad de un usuario. Habilitar la MFA para el usuario raíz y los usuarios de IAM.
AWS Organizations
consolidar y administrar varias cuentas de AWS en una ubicación central a una cuenta de miembro individual o a una unidad organizacional
AWS Organizations, políticas de control de servicios (SCP).
permiten controlar de forma centralizada los permisos de las cuentas de su organización mediante
permiten imponer restricciones a los servicios, recursos y acciones de API individuales de AWS a los que pueden acceder los usuarios y los roles de cada cuenta.
AWS Organizations, facturación unificada para todas las cuentas que pertenecen a la organización
usar la cuenta principal de tu organización para consolidar y pagar los recursos de todas las cuentas y así obtener descuentos por volumen o dinero en efectivo
AWS Organizations, permite agrupar cuentas en unidades organizativas, como unidades de negocio.
implementar agrupaciones jerárquicas de las cuentas para cumplir con las necesidades de seguridad, conformidad o presupuesto.
AWS Artifact
servicio que proporciona acceso bajo demanda a los informes de seguridad y conformidad de AWS y a determinados acuerdos en línea.
secciones de AWS Artifact
AWS Artifact Agreements
AWS Artifact Reports
AWS Artifact Agreements
revisar, aceptar y administrar los acuerdos (para atender las necesidades de los clientes que están sujetos a regulaciones específicas) de una cuenta individual y de todas las cuentas en AWS Organizations.
AWS Artifact Reports
Información sobre la responsabilidad del cliente AWS a cumplir con ciertos estándares regulatorios.
Artifact Reports proporciona informes de conformidad de auditores externos. Estos auditores han probado y verificado que AWS cumple con una variedad de estándares y normativas de seguridad globales, regionales y específicas del sector.
centro de conformidad del cliente
Util para descubrir cómo las empresas de sectores regulados han resuelto diversos desafíos de conformidad, gobernanza y auditoría y documentos técnicos de conformidad y documentación sobre temas tales como:
Respuestas de AWS a preguntas clave sobre conformidad
Información general de los riesgos y la conformidad de AWS
Una lista de comprobación de seguridad de las auditorías
En cada industria existen estándares y se realizarán auditorías
Estándares específicos que deben mantenerse y auditorías o inspecciones que garanticen que ha cumplido con estos estándares.
necesidad de conformidad
necesidad de herramientas para poder reunir documentos, registros e inspeccionar su entorno de AWS para comprobar que cumple con las normas de conformidad que corresponden
Conformidad heredada de AWS hacia sus clientes
Creó una infraestructura de centros de datos y de redes con las prácticas recomendadas de seguridad de la industria.
Heredará todas las prácticas recomendadas de las políticas, la arquitectura y los procesos operativos de AWS.
si necesita cumplir normas específicas
puede idear una solución para cumplir con estos requisitos creandolos usted mismo sobre AWS o utilizar las características que ya existen en muchos servicios AWS
la arquitectura de sus aplicaciones y de las soluciones que crea sobre la nube de AWS
debe crearse en conformidad, con seguridad y con el modelo de responsabilidad compartida en mente.
ataque de denegación de servicio (DoS)
intento deliberado de hacer que un sitio web o una aplicación no estén disponibles para los usuarios.
ataque de denegación de servicio distribuido (DDoS)
se utilizan varias fuentes para iniciar un ataque cuyo objetivo es hacer que un sitio web o una aplicación no estén disponibles.
AWS Shield
servicio que protege las aplicaciones contra los ataques DDoS. AWS Shield proporciona dos niveles de protección: estándar y avanzado.
AWS Shield Standard
Protege automáticamente a todos los clientes de AWS sin costo alguno.
Protege sus recursos de AWS de los tipos de ataques DDoS más comunes y frecuentes
Utiliza diversas técnicas de análisis para detectar el tráfico malicioso en tiempo real y mitigarlo automáticamente.
AWS Shield Advanced
Servicio de pago que proporciona diagnósticos detallados de ataques y la capacidad de detectar y mitigar ataques DDoS sofisticados
Se integra con otros servicios como AWS WAF, Amazon CloudFront, Amazon Route 53 y Elastic Load Balancing.
AWS Waf
usa un firewall para aplicaciones web para filtrar el tráfico entrante por las firmas de los atacantes. Cuenta con amplias capacidades de aprendizaje automático y puede reconocer nuevas amenazas a medida que evolucionan, y ayudar a defender a su sistema de forma proactiva contra una lista creciente de vectores destructivos.
utiliza una lista de control de acceso (ACL) web para proteger (para bloquear o permitir el tráfico) sus recursos de AWS.
Ataque DOS: inundación UDP
El atacante envía una solicitud sencilla, “deme el pronóstico del tiempo”, pero da una dirección de retorno falsa. En dicha solicitud, la dirección de retorno es de usted. Así que ahora el servidor el servicio meteorológico inunda alegremente su servidor con megabytes de pronóstico de lluvia, lo que puede llegar a paralizar su sistema.
Ataque DDOS: ataques a nivel HTTP
parecen clientes normales que hacen solicitudes normales, como búsquedas avanzadas de productos, una y otra y otra vez, todas provenientes de un ejército de equipos convertidos en robots zombies.
Ataques de red de bajo nivel, como las inundaciones UDP. ¿La solución?
grupos de seguridad: solo permiten el tráfico entrante de solicitudes autorizadas y operan en el nivel de red de AWS, no en el nivel de instancia de EC2
Ataques masivos desestimados debido a la escala de toda la capacidad que tienen las regiones de AWS
simulaciones UDP y los ataques de reflejo UDP
ELB contra Ataques Lowloris
ELB atiende la solicitud de tráfico HTTP, espera hasta que todo el mensaje esté completo antes de enviarlo al servidor web de frontend.ELB es escalable y funciona a nivel de región.
dos variaciones de cifrado en AWS
cifrado en reposo
cifrado en tránsito
cifrado en reposo
datos están inactivos, solo están almacenados y no se mueven
AWS KMS
servicio de administración de llaves, que permite gestionar las llaves de cifrado que se utilizan para cifrar las tablas
capa de conexión segura o SSL
cifrar datos y usar certificados de servicio para validar y autorizar a un cliente.
Amazon Inspector
ejecuta una evaluación automatizada de la seguridad en relación con su infraestructura: si hay desviaciones de las prácticas recomendadas de seguridad, exposición de las instancias EC2, vulnerabilidades, etc.
AWS Inspector consta de tres partes:
una parte de accesibilidad a la configuración de la red
un agente de Amazon que se puede instalar en las instancias EC2
un servicio de evaluación de seguridad que los une a todos
Para utilizar Amazon Inspector:
Configuras las opciones de Inspector y ejecutas el servicio.
aparece una lista en consola con los posibles problemas de seguridad; con una descripción detallada del problema
Se pueden obtener los resultados a través de una API.
Amazon GuardDuty
servicio que proporciona detección inteligente de amenazas para la infraestructura y recursos de AWS. Identifica las amenazas mediante el monitoreo continuo de la actividad de la red y el comportamiento de la cuenta en el entorno de AWS.
analiza toda la actividad sobre tu cuenta mediante los eventos de AWS CloudTrail.
Analiza también la actividad de la red mediante los registros de flujo de Amazon VPC
Analiza los registros de DNS
Inteligencia de amenazas integrada
Se ejecuta en forma independiente de otros servicios de AWS
AWS Key Management Service (AWS KMS)
permite realizar operaciones de cifrado mediante el uso de llaves criptográficas.
cifrado en tránsito.
los datos de las aplicaciones estén seguros mientras se transmiten
llaves criptográficas
cadena aleatoria de dígitos que se utiliza para bloquear (cifrar) y desbloquear (descifrar) datos
AWS KMS
permite elegir los niveles específicos de control de acceso que necesita para sus claves
permite especificar qué usuarios y roles de IAM pueden administrar claves